目次
前提
HTTPは通信内容が暗号化されないプロトコル(通信手法)です。
HTTSは通信内容が暗号化するプロトコル(通信手法)です。
HTTP通信の見え方を検証
かなり簡素な作りになってしまいましたが、どんなサイトにもありそうなログインページを元に試していきます。
IDにuser、passwordにはengineerと入力してログインボタンを押します。ボタンを押したときに発生した通信の中身をwireesharkを使って確認したところ…。
どのページにアクセスしたという情報に加えて、 パスワード(engineer)までバッチり見えていました。
今回はログイン情報で検証しましたが、webサイトがhttpの場合はログイン情報と同様にログイン情報と同様に住所などの個人情報やクレジットカードの情報も丸見えのまま通信が行われてしまいます。
HTTPS通信の見え方を検証
HTTPS化しているサイトは用意出来なかったので、
棒クレジットカード会社のwebページにログインした時の
通信を確認してみました。
しっかりと暗号化されておりIDやpasswordを確認することは出来ませんでした。
第三者が通信を見ることができるのか
自分の端末(PCやスマホ)からインターネットのwebサーバへの通信経路にはいくつもの通信機器を経由します。
悪意のある第三者はそれらの機器の脆弱性をついて不正にアクセスすることで通信の盗聴を行えるので一般の人は確認できませんが、攻撃者に通信を見られる可能性はあります。
上記を踏まえて気をつけること
・サイト利用者視点<
https化されていないサイトで不用意にログインしたり個人情報を入力したりしない。
・webサイト管理者視点
https化されているかどうかはwebサイト自体の信頼性にも繋がるので、ログインページがあったり入力フォームがある場合はhttps化を行う。